CC BY
378
I ФАКТОРЫ ОРГАНИЗАЦИОННЫХ РИСКОВ, ВОЗНИКАЮЩИХ В СИСТЕМАХ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Тарасова Наталья Александровна, Москва, Институт информационных наук и технологий безопасности РГГУ
Рассмотрена структура, содержание и причины возникновения организационных рисков в системах информационной безопасности. Приведена классификация организационных рисков, проанализированы существующие механизмы управления рисками и определены направления создания (развития) инструментария управления организационными рисками.
Ключевые слова: система информационной безопасности, организационные риски, управление рисками.
FACTORS OF ORGANIZATIONAL RISKS IN THE SYSTEM OF THE SOFTWARE I INFORMATION SECURITY
Natalya Та^оуа, Moscow, Institute of Information Sciences and Security Technologies of Russian State University of Humanities
The structure of the content and causes of organizational risks in information security systems is given. The classification of organizational risks, analyzes the existing risk management mechanisms and defines the directions for creating/developing tools for managing organizational risks are discussed.
Keywords: information security system, organizational risks, and risk management.
Характерной особенностью современного этапа развития общества является широкое применение современных информационных систем (ИС) практически во всех сферах жизнедеятельности страны: государственном управлении, управлении войсками, оружием, экологически опасными и экономически важными производствами, в кредитно-финансовой сфере и т.д. При этом актуальной проблемой является обеспечение информационной безопасности организаций (предприятий, корпораций и т.п.), использующих в своей деятельности ИС.
Под информационной безопасностью предприятия будем понимать совокупность условий, в которых оно функционирует при воздействии неблагоприятных факторов на информационную инфраструктуру (информационные ресурсы, информационные процессы, программно-технические компоненты, пользователей, обслуживающий персонал, а также поддерживающие системы) без недопустимого снижения качества бизнес-процессов.
Для реализации совокупности таких условий предназначена система обеспечения информационной безопасности (СОИБ). СОИБ может недостаточно эффективно
реализовать условия безопасности из-за возможных недостатков в своей организации. Какие это недостатки и что они могут порождать? Для ответа на данный вопрос сначала рассмотрим понятие «обеспечение».
Оно раскрывается в современной технической литературе двояко - и как вид, и как средство деятельности. Как вид деятельности обеспечение означает совокупность действий, предпринимаемых для того, чтобы сделать нечто «вполне возможным, действительным, реально выполнимым», а как средство деятельности - «то, чем обеспечивают кого-нибудь или что-нибудь» [1].
Обеспечение безопасности как вид деятельности - есть процесс создания или поддержания безопасных условий функционирования информационной инфраструктуры предприятия, а обеспечение безопасности как средство деятельности - совокупность материальных объектов, людских ресурсов, финансовых, правовых и организационных средств, которые реализуют безопасные условия её функционирования. Другими словами СОИБ представляет собой систему деятельности, элементы которой (средства деятельности) реализуют определённый процесс (вид деятельности) поддержания безопасных условий функционирования. При организации такой системы деятельности могут быть недостатки, связанные как со средствами деятельности, так и видом деятельности.
К недостаткам, связанным со средствами деятельности, относятся, например, неоптимальный выбор номенклатуры механизмов обеспечения информационной безопасности, различные проектные ошибки и недочеты при создании СОИБ, нерациональные настройки программно-технических средств защиты информационной инфраструктуры, использование несовершенных методов и средств обеспечения информационной безопасности и др.
К недостаткам второго типа будем относить недостатки, связанные с несовершенством построения и организации функционирования СОИБ. Это несовершенство может проявляться в отсутствии формализованных методик проектирования деятельности по обеспечению информационной безопасности предприятия, в наличии ошибок планирования и проектирования деятельности, в низкой координации работ и регулирования процессов поддержания безопасных условий функционирования, в неправильном подборе и расстановке кадров, в недостаточном участие высшего руководства в обеспечении информационной безопасности, в организационной неготовности предприятия к внедрению СОИБ, в негативных проявлениях человеческого фактора (в частности, сопротивлении персонала, психологической усталости, в изъянах политики информационной безопасности предприятия и т. д.
Все эти недостатки могут вызвать события, приводящие к недопустимому снижению качества бизнес-процессов предприятия.
Для анализа таких событий в контексте информационной безопасности предприятия и последствий их наступления в настоящее время широко применяется риск-ориентированный подход. В его рамках нежелательные события связываются с рисками нарушения информационной безопасности предприятия, причём источником этих рисков является сама СОИБ, а точнее - недостатки организации деятельности по поддержанию безопасных условий функционирования информационной инфраструктуры. Данные риски будем называть организационными [2].. При этом под риском будем понимать возможность наступления некоторого неблагоприятного события, влекущего за собой различного рода потери (ущерб).
В понятии «организационный риск» можно выделить следующие элементы, взаимосвязь которых и составляет его сущность:
Факторы организационных рисков...
возможность отклонения от целенаправленной деятельности по поддержанию безопасных условий функционирования информационной инфраструктуры предприятия;
вероятность достижения желаемого результата функционирования информационной инфраструктуры предприятия;
отсутствие уверенности в достижении цели функционирования информационной инфраструктуры предприятия;
возможность различных потерь (ущерба), связанных с выбором стратегии функционирования информационной инфраструктуры предприятия в условиях неопределенности.
Неопределенность вызвана неполнотой или неточностью информации об условиях функционирования информационной инфраструктуры предприятия, в частности, угрозах нарушения информационной безопасности и сценариях их реализации; неизвестностью точных значений некоторых параметров сценариев протекания процесса поддержания безопасных условий функционирования, например неполнотой политик безопасности, невозможностью с точностью до 100% спрогнозировать значение того или иного фактора, непредсказуемостью поведения участников процесса обеспечения безопасных условий функционирования информационной инфраструктуры в ситуации возможного конфликта интересов, например, при децентрализованной схеме администрирования информационной безопасности и др.
Сочетание этих факторов создаёт в практике организации процесса поддержания безопасных условий функционирования обширный спектр различных видов неопределённости. Поскольку неопределённость выступает источником риска, её следует минимизировать посредством уточнения информации.
В процессе деятельности по поддержанию безопасных условий функционирования информационной инфраструктуры предприятия возникает совокупность различных видов организационного риска, которые отличаются между собой по месту и времени возникновения, совокупности внешних и внутренних факторов, влияющих на их уровень и, следовательно, по способу их анализа и методам описания.
Как правило, все виды организационных рисков взаимосвязаны и оказывают влияния на деятельность в рамках СОИБ. При этом изменение одного вида риска может вызывать изменение большинства остальных. Рассмотрим одну из возможных классификаций организационных рисков в СОИБ. При этом основными классификационными признаками будем считать следующие: время возникновения, факторы возникновения, отношение к СОИБ, характер последствий и другие.
По времени возникновения риски подразделяются на ретроспективные, текущие и перспективные риски. Анализ ретроспективных рисков, их характера и способов снижения дает возможности более точно анализировать текущие и прогнозировать перспективные риски.
По факторам возникновения организационные риски могут быть подразделены на сценарные, структурные и параметрические.
Сценарные риски - это риски, обусловленные несовершенством сценариев проведения мероприятий по обеспечению информационной безопасности.
Структурные риски - риски, обусловленные недостатками проектирования структуры СОИБ и её элементов.
Параметрические риски - риски, обусловленные недостаточностью значений параметров процессов поддержания безопасных условий функционирования информационной инфраструктуры предприятия.
По отношению к СОИБ организационные риски делятся на внешние и внутренние. К внешним рискам относятся риски, непосредственно не связанные с деятельностью в рамках конкретной СОИБ. Это риски «доэксплуатационной, проектной природы». К внутренним рискам относятся риски, обусловленные деятельностью в рамках конкретной СОИБ.
По характеру последствий риски подразделяются на допустимые, критические, катастрофические. Данные риски отличаются зонами потерь (ущербов), возникающих при принятии различных по качеству решений по обеспечению информационной безопасности.
Эффективное противодействие организационным рискам - многоэтапный процесс, одним из этапов которого является анализ рисков.
Он может быть осуществлён при помощи использования деревьев отказов, содержащие структурные элементы, исследование которых, в свою очередь, требует детальной структуры причинно-следственных связей. Данное обстоятельство порождает задачу разложения рисков на составные части (факторы, обусловливающие риск).
Современные подходы к решению этой задачи реализуются в рамках методологии факторного анализа информационных рисков [3]. Риск в соответствие с ней определяется как сочетание частоты наступления неблагоприятного события (Loss Event Frequency, LEF) и возможной величиной ущерба (Probable Loss Magnitude, PLM), вызванного его наступлением (рис.1).
Рис.1. Основные компоненты риска
Для того чтобы произошло неблагоприятное событие, необходимо существование некоторой уязвимости в организации СОИБ, связанной с ней угрозы, механизма её реализации, а также срабатывание этого механизма (оно и вызывает наступление события). Это приводит нас к выделению следующих двух факторов: частоты проявления угрозы неблагоприятного события (Threat Event Frequency) и уязвимости (Vulnerability) (рис.2).
Рис.2. Факторы частоты наступления неблагоприятного события
Факторы организационных рисков...
Термин «частота проявления угрозы неблагоприятного события» не указывает явно на факт успешного или неуспешного действия субъекта угрозы. Это приводит к необходимости введения двух факторов, которые связаны с частотой проявления угрозы неблагоприятного события: контакт (Contact) и действие (Action) (рис. 3).
Рис.3. Факторы частоты проявления угрозы неблагоприятного события
Контакт определяется как вероятная частота на интервале времени, на котором субъект угрозы может войти в контакт с объектом нарушения безопасности.
Контакты могут трёх видов: случайные, регулярные и преднамеренные. Каждый из этих типов контактов связан с различными факторами.
Действие (воздействие) определяется как вероятность того, что субъект угрозы будет воздействовать на объект нарушения безопасности, когда происходит контакт.
Факторы, определяющие способность противодействовать субъекту угрозы, связаны с уязвимостью - вероятностью того, что объект нарушения безопасности не сможет оказать сопротивления действиям субъекта угрозы (рис. 4) - возможность угрозы (Threat Capability) и управление силой (Control Strength).
Рис.4. Факторы, связанные с уязвимостью
Рассмотренные выше факторы определяют частоту наступления неблагоприятного события и являются основой для анализа этого компонента риска.
Анализ другого компонента - возможной величины ущерба - связан с решением достаточно сложной задачи определения допустимых уровней деградации существенных свойств СОИБ при возникновении неблагоприятных состояний (функциональных отказов СОИБ) и ранжирование этих уровней по вкладу в сохранение качества системы. Данная задача включает в себя следующие основные этапы:
ранжирование функций, выполняемых системой по важности, анализ динамики выполнения функций (времена выполнения функций, логика выполнения: цикличность выполнения функций, связь функций между собой, алгоритмы выполнения и т.п.);
анализ связи элементов СОИБ с выполняемыми функциями; формирование системы критериев для оценки критичности функциональных отказов элементов СОИБ;
разработка соответствующих шкал;
оценка критичности функциональных отказов элементов СОИБ по выбранным критериям (расчеты, испытания, моделирование, экспертизы и т.п.);
ранжирование элементов СОИБ по степени критичности их функциональных отказов.
Литература
1. Стрельцов А.А. Обеспечение информационной безопасности России. Теоретические и методологические основы/Под ред. В.А. Садовничего и В.П. Шерстюка. - М.: МЦНМО, 2002. - 296 с.
2. Тарасова Н.А. Организационные риски в системе обеспечения информационной безопасности предприятия // Современные проблемы и задачи обеспечения информационной безопасности: Труды Всероссийской научно-практической конференции «СИБ-2014». - М., МФЮА, 2014. С. 73-80.
3. Jones Jack A. An Introduction to Factor Analysis of Information Risk (FAIR). A framework for understanding, analyzing, and measuring information risk. URL: http://creativecommons.org/ licenses/by-nc-sa/2.5/.
Reference
1. Streltsov A.A. Obespecheniye informatsionnoy bezopasnosti Rossii. Teoreticheskiye i metodologicheskiye osnovy, By ed. V.A. Sadovnichiy and V.P. Sherstyuk, Moscow, MTsNMO, 2002. 296 p.
2. Tarasova N.A. Organizatsionnyye riski v sisteme obespecheniya informatsionnoy bezopasnosti predpriyatiya, Sovremennyye problemy i zadachi obespecheniya in-formatsionnoy bezopasnosti, Trudy Vserossiyskoy nauchno-prakticheskoy konferentsii «SIB-2014», Moscow., MFYuA, 2014, pp. 73-80.
3. Jones Jack A. An Introduction to Factor Analysis of Information Risk (FAIR). A framework for understanding, analyzing, and measuring information risk, URL: http://creativecommons.org/ licenses/by-nc-sa/2.5/ .
